更新时间:2026-06-04 GMT+08:00
配置攻击惩罚的流量标识
WAF根据配置的流量标识识别客户端IP、Session、User标记,以分别实现IP、Cookie、Params恶意请求的攻击惩罚功能。WAF基于配置的流量标识,对客户端IP、Session、User标记进行识别,实现针对IP、Cookie、Params维度的恶意请求攻击惩罚能力。
约束条件
- 如果配置了IP标记,为了确保IP标记生效,请您确认防护网站在接入WAF前已使用了7层代理,且防护网站的“是否使用七层代理”为“是”。
如果未配置IP标记,WAF默认通过客户端IP进行识别。
- 使用Cookie、Params恶意请求的攻击惩罚功能前,您需要分别配置对应域名的Session、User标记。
前提条件
配置攻击惩罚的流量标识
- 登录Web应用防火墙控制台。
- 在控制台左上角,单击
图标,选择区域或项目。 - (可选) 如果您已开通企业项目,在左侧导航栏上方单击“按企业项目筛选”下拉框,选择您所在的企业项目。完成后,页面将为您展示该企业项目下的相关数据。
- 在左侧导航栏,单击“网站设置”。
- 在“网站设置”页面,单击目标网站域名。
- 在“流量标识”栏中,单击“IP标记”、“Session标记”、“User标记”后的
,分别设置流量标记,相关参数说明如表1所示。 表1 流量标识参数说明 标识
说明
配置样例
IP标记
客户端最原始的IP地址的HTTP请求头字段。配置后,WAF从HTTP请求头(如X-Forwarded-For)中提取客户端真实IP,未配置时WAF默认读取客户端IP。
网站接入时,配置的IP标识,会同步到流量标识的IP标记中。支持修改:- $remote_sockaddr:当WAF前无其他代理时,如果报文存在TOA(TCP Option Address),且不希望WAF以TCP Option Address作为客户端IP时,选择该选项。配置后,WAF会以报文的3层源IP作为客户端真实IP。
- $remote_addr:当WAF前存在四层代理时,如果希望WAF以TCP连接IP作为客户端真实IP,选择该选项。
- x-forwarded-for:当WAF前存在七层代理时,选择该选项后,WAF会以X-Forwarded-For(XFF)中的首个IP地址作为客户端真实IP。
- 自定义:当WAF前存在七层代理时,选择该项并配置字段名后,WAF优先从配置的字段中获取客户端真实IP。配置多个字段时,WAF从左到右依次读取客户端真实IP。
如果WAF从自定义字段中未获取到客户端真实IP,将依次从CDN-Src-Ip、X-Real-Ip、X-Forwarded-For、$remote_addr字段获取客户端真实IP。
该字段用于保存客户端的真实IP地址,可自定义字段名且支持配置多个字段(多个字段名以英文逗号隔开),配置后,WAF优先从配置的字段中获取客户端真实IP(配置多个字段时,WAF从左到右依次读取)。
- 如果想以TCP连接IP作为客户端IP,“IP标记”应配置为“$remote_addr”。
- 如果报文存在TOA,而不想以“TCP Option Address”作为客户端IP,“IP标记”应配置为“$remote_sockaddr”,并将独享引擎版本升级到24年5月及之后的版本,配置后会以报文的3层源IP作为客户端IP。
- 如果从自定义字段中未获取到客户端真实IP,WAF将依次从cdn-src-ip,x-real-ip,x-forwarded-for,$remote_addr字段获取客户端IP。
x-forwarded-for
Session标记
用于Cookie恶意请求的攻击惩罚功能。在选择Cookie拦截的攻击惩罚功能前,必须配置该标识。
只能由数字、字母、中划线(-)、下划线(_)和半角句号(.)组成。
sessiontest
User标记
用于Params恶意请求的攻击惩罚功能。在选择Params拦截的攻击惩罚功能前,必须配置该标识。
只能由数字、字母、中划线(-)、下划线(_)和半角句号(.)组成。
Params
- 单击“确定”,完成标记信息配置。
